How to activate Threat Radar selks /Comment activer Threat Radar selks

[Admin-hoc]

Bonjour, Je viens d'installer selks comme système IPS/IDS dans un réseau d'une société j'ai quelques questions à ce sujet :
Peut-on l'utiliser comme Système IPS/IDS ? Comment activer Threat Radar ? Dans le cas où nous souhaitons ajouter des règles snort en plus de celle de suricate comment procède-t-on ? Dans l'attente de votre retour en vous remerciant par avance Cordialement, A.B

Hello, I have just installed selks as an IPS/IDS system in a company network and I have a few questions about it: Can it be used as an IPS/IDS system? How to activate Threat Radar? In case we want to add snort rules in addition to the suricate one, how do we proceed ? We look forward to hearing from you and thank you in advance Thank you very much, AB

[pevma]

This is an option for the commercial solution for which you can request a trial via - https://www.stamus-networks.com/contact-us

[Admin-hoc]

Bonjour,

Je vous remercie pour votre réponse.

J'ai une dernière question concernant le mode IPS , après avoir activé le mode IPS, et quand je suis dans "EveBox je vois bien qu'il a bloqué quelques trafics réseau mais en réalité il n’a rien bloqué, les ping fonctionnent toujours , les brutes-force sur ssh ne sont pas bloqué etc ... voici un 1er exemple :

et voici l'architecture de test :

Pourriez-vous m'aider à savoir pourquoi le trafic réseau n'est pas bloqué réellement s'il vous plait ?

Dans l'attente de votre retour, Bien Cordialement,

########################### Hello,

Thank you for your answer.

I have a last question concerning the IPS mode, after having activated the IPS mode, and when I am in "EveBox" I see well that it blocked some network traffic but in reality it did not block anything, the ping always works, the brute-force on ssh are not blocked etc... here is a 1st example :

and here is the test architecture :

Could you help me to know why the network traffic is not really blocked please ?

Waiting for your feedback, Sincerely, Hello,

[c-x]

D'après le schéma, votre instance de SELKS reçoit une copie du trafic via le Switch. Or, le mode IPS suppose que Suricata soit "inline" pour être un "IPS", c'est à dire que sur votre schéma il faudrait que SELKS soit entre le Switch et le Fortigate. Un peu comme un péage avant d'entrée sur l'autoroute, on à pas le choix, on est obligé d'y passer :)

Ce que vous observez dans EveBox est SELKS faisant un DROP du paquet, sauf que le paquet est une copie du paquet "réel", donc la connection n'est pas réellement DROP-ée.

Une autre approche serait d'utiliser les transformations avec l'action REJECT au lieu de DROP. SELKS resterait en mode IDS, mais lorsqu'un paquet non désiré apparait, il envoit un RST aux src/dest de la communication.

https://scirius.readthedocs.io/en/scirius-2.0.1/ruleset.html#rule-transformations

[ul-br]

Bonjour dans le cadre mon mémoire je travaille sur l'implémentation d'un SOC pour soutenir la sécurité d'un NOC et ton architecture est identique à la mienne. Dans l'existant j'ai déjà les parefeu fortigate et les check point anti DDoS. Je voudrais utiliser suricata en mode hybride (IDPS), alors j'aimerais savoir si je dois laisser selks sur le switch ou alors je le met entre fortigate et le switch (inline)

[regit]

Bonjour dans le cadre mon mémoire je travaille sur l'implémentation d'un SOC pour soutenir la sécurité d'un NOC et ton architecture est identique à la mienne. Dans l'existant j'ai déjà les parefeu fortigate et les check point anti DDoS. Je voudrais utiliser suricata en mode hybride (IDPS), alors j'aimerais savoir si je dois laisser selks sur le switch ou alors je le met entre fortigate et le switch (inline)

Par mode hybride, je comprends en bloquage. Il y a donc deux famille de solutions:

• le mettre en inline ou le mode IPS va bloquer les paquets (suite à reconfiguration de signatures en drop)
• le mettre à l'écoute d'une copie du traffic sur le swtich et avoir un interface sur le SELKS pour faire des reject (reconfiguration de sig en reject)

La deuxième solution est moins efficace au niveau du bloquage.

[ul-br]

D'accord et merci

---

De : Eric Leblond @.> Envoyé : lundi 10 juin 2024 22:08 À : StamusNetworks/SELKS @.> Cc : ul-br @.>; Comment @.> Objet : Re: [StamusNetworks/SELKS] How to activate Threat Radar selks /Comment activer Threat Radar selks (#336)

Bonjour dans le cadre mon mémoire je travaille sur l'implémentation d'un SOC pour soutenir la sécurité d'un NOC et ton architecture est identique à la mienne. Dans l'existant j'ai déjà les parefeu fortigate et les check point anti DDoS. Je voudrais utiliser suricata en mode hybride (IDPS), alors j'aimerais savoir si je dois laisser selks sur le switch ou alors je le met entre fortigate et le switch (inline)

Par mode hybride, je comprends en bloquage. Il y a donc deux famille de solutions:

• le mettre en inline ou le mode IPS va bloquer les paquets (suite à reconfiguration de signatures en drop)
• le mettre à l'écoute d'une copie du traffic sur le swtich et avoir un interface sur le SELKS pour faire des reject (reconfiguration de sig en reject)

La deuxième solution est moins efficace au niveau du bloquage.

— Reply to this email directly, view it on GitHubhttps://github.com/StamusNetworks/SELKS/issues/336#issuecomment-2159194439, or unsubscribehttps://github.com/notifications/unsubscribe-auth/BIUUU72RXYZTD3VYQRCDWC3ZGYBT7AVCNFSM6AAAAABJBZYHWKVHI2DSMVQWIX3LMV43OSLTON2WKQ3PNVWWK3TUHMZDCNJZGE4TINBTHE. You are receiving this because you commented.Message ID: @.***>

[ul-br]

Bonsoir,

Toujours dans les test pour mon mémoire j'ai décidé de faire le test 42 de wireshark et dans la section enrichissement de l'outil Hunt je n'ai pas d'information (section vide) comparément à la capture sur votre plateforme.

Ci-joint :

La capture de mon interface La capture de l'interface sur le tuto

---

De : Eric Leblond @.> Envoyé : lundi 10 juin 2024 22:08 À : StamusNetworks/SELKS @.> Cc : ul-br @.>; Comment @.> Objet : Re: [StamusNetworks/SELKS] How to activate Threat Radar selks /Comment activer Threat Radar selks (#336)

Bonjour dans le cadre mon mémoire je travaille sur l'implémentation d'un SOC pour soutenir la sécurité d'un NOC et ton architecture est identique à la mienne. Dans l'existant j'ai déjà les parefeu fortigate et les check point anti DDoS. Je voudrais utiliser suricata en mode hybride (IDPS), alors j'aimerais savoir si je dois laisser selks sur le switch ou alors je le met entre fortigate et le switch (inline)

Par mode hybride, je comprends en bloquage. Il y a donc deux famille de solutions:

• le mettre en inline ou le mode IPS va bloquer les paquets (suite à reconfiguration de signatures en drop)
• le mettre à l'écoute d'une copie du traffic sur le swtich et avoir un interface sur le SELKS pour faire des reject (reconfiguration de sig en reject)

La deuxième solution est moins efficace au niveau du bloquage.

— Reply to this email directly, view it on GitHubhttps://github.com/StamusNetworks/SELKS/issues/336#issuecomment-2159194439, or unsubscribehttps://github.com/notifications/unsubscribe-auth/BIUUU72RXYZTD3VYQRCDWC3ZGYBT7AVCNFSM6AAAAABJBZYHWKVHI2DSMVQWIX3LMV43OSLTON2WKQ3PNVWWK3TUHMZDCNJZGE4TINBTHE. You are receiving this because you commented.Message ID: @.***>